ГТПДООР Малваре

Безбедносни аналитичари су идентификовали Линук малвер под називом ГТПДООР, који је експлицитно пројектован за примену унутар телекомуникационих мрежа у близини ГПРС роминг размене (ГРКС). Његово иновативно коришћење ГПРС протокола за тунелирање (ГТП) за комуникацију са командом и контролом (Ц2) издваја овај малвер. ГПРС роминг омогућава претплатницима да приступе својим ГПРС услугама када су изван покривености њихове кућне мобилне мреже. Ово је омогућено кроз ГРКС, који олакшава транспорт роминг саобраћаја користећи ГТП између посећене и кућне јавне земаљске мобилне мреже (ПЛМН).

Стручњаци сумњају да је ГТПДООР бацкдоор потенцијално повезан са признатим актером претње, ЛигхтБасин (такође познат као УНЦ1945). Ова специфична група цибер криминалаца је повезана са низом напада усмерених на сектор телекомуникација, са циљем крађе информација о претплатницима и метаподатака о позивима.

Злонамерни софтвер ГТПДООР омогућава незаконит приступ сајбер криминалцима

Након извршења, ГТПДООР покреће своје операције мењајући своје име процеса у '[сислог],' маскирајући се као сислог који се позива из кернела. Предузима мере да потисне сигнале деце и наставља са отварањем сирове утичнице, омогућавајући импланту да пресреће УДП поруке усмерене на мрежне интерфејсе.

У суштини, ГТПДООР пружа пут актеру претње са утврђеном постојаношћу на мрежи размене у ромингу да комуницира са компромитованим хостом. Ова комуникација се постиже преношењем ГТП-Ц Ецхо Рекуест порука које садрже штетно оптерећење. Порука ГТП-Ц Ецхо Рекуест-а служи као канал за слање команди које треба извршити на зараженој машини и преношење резултата назад удаљеном хосту.

ГТПДООР се може дискретно испитати са спољне мреже, изазивајући одговор слањем ТЦП пакета на било који број порта. Ако је имплант активан, он враћа направљен празан ТЦП пакет, заједно са информацијама о томе да ли је одредишни порт био отворен или је реаговао на хосту.

Чини се да је овај имплант скројен да се налази на компромитованим хостовима директно повезаним на ГРКС мрежу – то су системи који комуницирају са мрежама других телекомуникационих оператера преко ГРКС-а.

ГТПДООР малвер обавља неколико претећих радњи када се активира

ГТПДООР се бави разним злонамерним активностима, укључујући слушање одређеног пакета за буђење, идентификованог као порука ГТП-Ц ехо захтева (ГТП тип 0к01). Занимљиво је да хост не захтева активне утичнице или сервисе за слушање, пошто се сви УДП пакети примају у кориснички простор кроз отварање сирове утичнице. Поред тога, ГТПДООР је дизајниран да изврши команду на хосту наведеном у магичном пакету, враћајући излаз удаљеном хосту и подржавајући функционалност типа 'обрнуте шкољке'. И захтеви и одговори се преносе као ГТП_ЕЦХО_РЕКУЕСТ и ГТП_ЕЦХО_РЕСПОНСЕ поруке, респективно.

Имплантат се може дискретно испитати са спољне мреже, подстичући одговор слањем ТЦП пакета на било који број порта. Ако је имплант активан, он враћа направљен празан ТЦП пакет, пружајући информације о томе да ли је одредишни порт био отворен или је реаговао на хосту.

Због безбедносних мера, ГТПДООР аутентификује и шифрује садржај магичних порука ГТП пакета користећи једноставну шифру КСОР. Током извршавања, може се наложити да промени свој кључ за аутентификацију и шифровање путем поновног кључа, спречавајући да други актери претњи користе подразумевани кључ тврдо кодиран у бинарном систему. Да би се уклопио у окружење, ГТПДООР мења име процеса да би личило на систем системског дневника који се позива као нит кернела. Важно је да ради без потребе за изменама улазног заштитног зида ако је циљном хосту дозвољено да комуницира преко ГТП-Ц порта.